本文介绍如何在 IDaaS EIAM 中使用 Agent ID 管理 AI Agent 身份与权限,涵盖资产可视化、人机权限隔离、认证方式配置、客户端与大模型节点接入,以及企业服务访问与常见问题。
适用范围
注册Agent身份
进入 IDaaS EIAM 控制台 。
在左侧导航栏,选择Agent 身份安全。
在 Agent ID 管理页面,单击注册Agent身份。
系统自动创建 Agent 身份配置拓扑图,拓扑图中支持以下节点:
Agent节点:Agent 身份主体,用于配置认证方式和权限。
客户端节点:客户端接入授权,用于对客户端做准入权限控制。
下游资源:支持如下节点,根据需求选配。
大模型节点:创建大模型服务的 API Key 凭据。
企业服务节点:已经对接过 IDaaS 的企业内部应用。
三方服务节点:外部服务商提供的第三方应用的 OAuth 凭据或 API Key。
拓扑图中支持如下节点间的授权关系:
出站授权:连接 Agent 节点与大模型、企业服务或三方服务节点,建立出站授权关系。
入站授权:连接客户端节点与 Agent 节点,建立入站授权关系。
将鼠标悬停在 Agent 节点上,单击节点左侧的 + 按钮可添加客户端节点,单击右侧 + 按钮可添加大模型、企业服务或三方服务节点。
每个 Agent、客户端和企业服务节点都需占用 1 个 M2M 应用授权。
配置Agent节点
Agent 节点用于配置 Agent 身份的认证方式和权限。
通用配置
在Agent身份配置拓扑图中,单击 Agent 节点。
在Agent 通用配置配置面板,完成如下配置:
Agent ID:系统自动生成,不可修改。
Agent名称:可自定义,用于控制台显示。
认证类型:选择下面两种方式中的一种即可。
Client Secret凭证:用于 Agent 访问 IDaaS 的客户端身份认证。单击添加 client_secret可创建新的Client Secret凭证。
公私钥凭证:单击手动添加可添加客户端公钥。Agent 使用私钥对认证信息进行签名,IDaaS 使用客户端公钥验证 Agent 侧信息。
配置受众标识:系统自动生成,首次配置时可修改,配置完成后不支持修改。
单击下一步,进入权限配置页面。
权限配置
配置权限信息:
权限名称:系统自动生成,可修改。
权限标识:用于唯一标识该权限。系统已自动生成一个默认值,可以根据需求进行修改。建议保持默认的
agent.access。授权方式:选择授权方式。
自动授权:会为所有能访问该客户端的人员自动授予权限,这些人员将获得访问 Agent 的权限。
手动授权:需逐一为希望具有该权限的特定人员手动分配权限。
如果选择手动授权,单击下一步后,进入授权配置面板,选择授权对象:
账户:选择单个用户账户。
组:选择用户组,组内所有成员将获得权限。
组织机构:选择组织机构,机构下所有成员将获得权限。
完成权限配置。
配置客户端节点
客户端节点用于配置客户端接入 Agent 时的认证信息。配置完成后可在 界面中查看到创建的客户端 M2M 应用。
添加客户端节点
在Agent身份配置拓扑图中,将鼠标悬停在 Agent 节点上,单击节点左侧的 + 按钮。
在弹出的节点类型菜单中,选择客户端。
或者从页面中的添加节点按钮处添加客户端节点。
配置客户端应用
单击新建的客户端节点。
在配置面板中,可选择以下操作:
选择已有应用:在应用列表中选择已创建的 OIDC(M2M) 应用。
创建新应用:单击新建客户端应用。
新建客户端应用
单击新建客户端应用。
配置应用基本信息:
应用名称:输入客户端应用的名称。
Redirect URI:系统默认的登录页面地址,用户登录时将重定向至该 URL 进行身份验证(如输入账号密码、选择外部身份提供商)。支持HTTPS和HTTP协议,如
https://example.aliyun.com/login。说明请注意 URI 地址中的 # 及其后面内容不会被发送到服务器,如需包含,请改用 %23。
认证类型:选择客户端认证方式。
Client Secret凭证:用于 IDaaS 对 Agent 的认证,Agent 侧需配置该凭证。
公私钥凭证:添加客户端公钥,IDaaS 使用该公钥验证 Agent 侧信息。
单击下一步,进入授权配置面板。选择允许使用该客户端应用的用户范围,支持按账户、组或组织机构进行批量选择。
完成客户端应用创建。
配置入站授权
入站授权用于定义客户端可以请求的权限范围。
在客户端节点和 Agent 节点之间的连线上,单击入站授权。
在入站授权配置面板,单击添加授权。
在权限列表中,勾选需要授权的权限项。可选权限来自 Agent 节点中配置的权限列表。
配置大模型节点
大模型节点用于配置大模型的凭据信息。将大模型凭据信息托管至 IDaaS 后,Agent 通过 IDaaS 获取所需凭据。
添加大模型节点
在Agent身份配置拓扑图中,将鼠标悬停在Agent节点上。
单击节点右侧的“+”按钮。
在弹出的节点类型菜单中,选择大模型。
配置大模型凭据
单击新建的大模型节点。
在配置面板中,可选择以下操作:
选择已有的凭据。可提前在菜单中创建,创建完成后可在此处选择。
添加新的 API Key 凭据。
添加新的 API Key 凭据
单击添加API Key凭据。
配置凭据信息:
凭据名称:用于控制台显示。
描述:凭据的描述信息。
业务类型:系统强制选择大模型,不可修改。
API Key标识:托管的大模型 API Key 标识。
API Key值:托管的 API Key。
安全存储:默认加密凭据,不支持取消。
完成 API Key 凭据添加。
配置大模型出站授权
大模型节点出站授权无需手工配置,系统自动允许认证通过的 Agent 获取关联的大模型API凭据。
配置企业服务节点
如 Agent 需访问企业服务,可创建企业服务节点,用于从企业服务中获取 Access Token。配置完成后可在 界面中查看到创建的企业服务 M2M 应用。
一个企业服务节点代表一个企业内部应用,该企业内部应用需支持 IDaaS 签发的访问凭证。
通用配置
在Agent身份配置拓扑图中,单击企业服务节点。
在配置面板中,可选择以下操作:
选择已有企业服务。可在中添加 M2M 应用,添加完成后即可在此处选择。
添加新的企业服务应用。
添加企业服务应用
单击添加企业服务应用.
完成以下配置信息:
应用名称:填写应用名称,用于控制台展示。
配置受众标识:配置企业应用的受众标识,配置后不可修改。
单击下一步。
权限配置
配置权限信息:
权限名称:输入权限的显示名称。
权限标识:权限标识用于唯一标识该权限。系统已自动生成一个默认值,可以根据需求进行修改。
完成配置。
配置企业服务出站授权
出站授权用于定义Agent访问企业服务时的权限范围。
在Agent节点和企业服务节点之间的连线上,单击出站授权。
在出站授权配置面板,单击添加权限。
在权限列表中,勾选需要授权的权限项。可选权限来自企业服务节点中配置的权限列表。
完成配置。
配置三方服务节点
添加三方服务节点
在Agent身份配置拓扑图中,将鼠标悬停在 Agent 节点上,单击节点左侧的 + 按钮。
在弹出的节点类型菜单中,选择三方服务。
或者从拓扑页面中的添加节点按钮处添加三方服务节点。
配置三方服务凭据
在Agent身份配置拓扑图中,单击三方服务节点。
在三方服务配置面板中可选择一下任一操作:
选择已有凭据。可提前在菜单中创建,创建完成后可在此处选择。
添加新的三方服务。
添加新的三方服务凭据
单击添加API Key凭据。
配置凭据信息:
说明凭据数量存在上限。超过上限后,无法新增凭据。
凭据名称:用于控制台显示。
描述:凭据的描述信息。
业务类型:系统强制选择三方服务,不可修改。
API Key标识:托管的 API Key 标识。
API Key值:托管的 API Key。
安全存储:默认加密凭据,不支持取消。
完成 API Key 凭据添加。
相关操作
配置完成后,您还可以执行以下操作:
编辑节点:单击节点,在配置面板中修改相关配置。
删除节点:单击节点左上角删除图标。
调整授权:单击授权连线,添加或移除权限项。
常见问题
为什么提示M2M应用授权额度不足?
A:Agent节点、客户端节点和企业服务节点均需要占用M2M应用授权额度。请确认您的 IDaaS 实例已开通足够的 M2M 应用授权,如需增加额度,请联系管理员或升级实例规格。
客户端凭证和公私钥凭证有什么区别?
A:
Client Secret凭证:使用客户端ID和密钥进行认证,配置简单。
公私钥凭证:使用非对称加密算法,可以选择更安全的密钥管理方式,比如 KMS/HSM 等,安全性更高。
如何获取大模型的API Key?
A:请登录对应的大模型服务提供商控制台(如阿里云百炼、OpenAI等),在API密钥管理页面创建并获取API Key。